2018-0677: Microsoft Edge: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-04-11 14:24)
- Neues Advisory
- Version 2 (2018-05-09 15:07)
- Microsoft informiert über die Veröffentlichung von Update KB4103716 für Windows 10 für 32-bit Systems und Windows 10 für x64-based Systems, welches die Schwachstelle CVE-2018-0993 umfänglich adressiert. Kunden von Windows 10 erhalten das Sicherheitsupdate automatisch, Unternehmenskunden empfiehlt Microsoft sicherzustellen, dass das Update KB4103716 installiert ist (siehe Referenz).
Betroffene Software
Office
Betroffene Plattformen
Microsoft
Beschreibung:
Mehrere Schwachstellen in Microsoft Edge ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. Falls der Benutzer mit Administratorrechten arbeitet, kann der Angreifer das System durch die Ausnutzung der Schwachstellen vollständig übernehmen. Zwei weitere Schwachstellen ermöglichen dem Angreifer das Ausspähen von Informationen. Ein Großteil dieser Schwachstellen wird von Microsoft als kritisch eingestuft.
Von den Schwachstellen sind unterschiedliche Versionen des Betriebssystems Microsoft Windows 10 sowie das Server-Betriebssystem Microsoft Server 2016 betroffen. Die Schwachstellen werden mit den Microsoft April 2018 Sicherheitsupdates behoben und können im Microsoft Security Update Guide über die Kategorie 'Browser' und das Produkt 'Microsoft Edge' identifiziert werden. Viele der Schwachstellen bestehen in der Microsoft Scripting Engine ChakraCore.
Schwachstellen:
CVE-2018-0892
Schwachstelle in Microsoft Edge ermöglicht Ausspähen von InformationenCVE-2018-0979 CVE-2018-0980 CVE-2018-0990 CVE-2018-0993 CVE-2018-0994 CVE-2018-0995 CVE-2018-1019
Schwachstellen in Microsoft Scripting Engine ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-0998
Schwachstelle in Microsoft Edge ermöglicht Ausspähen von InformationenCVE-2018-1023
Schwachstelle in Microsoft Browser ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.